SÈRIE Presidència espanyola del Consell de la Unió Europea (3): Acte de resiliència cibernètica: els estats membres acorden una posició comuna sobre els requisits de seguretat dels productes digitals
Amb l’objectiu de garantir que els productes amb components digitals, com ara càmeres domèstiques connectades, neveres intel·ligents, televisors i joguines, siguin segurs abans d’entrar al mercat, els representants dels estats membres (Coreper) van arribar a una posició comuna sobre la proposta de legislació sobre ciberseguretat horitzontal. requisits per a productes amb elements digitals (llei de resiliència cibernètica).
Objectius de la proposta
L’esborrany de reglament introdueix requisits obligatoris de ciberseguretat per al disseny, desenvolupament, producció i posada a disposició al mercat de productes de maquinari i programari per evitar la superposició de requisits derivats de diferents legislacions dels estats membres de la UE.
El reglament proposat s’aplicarà a tots els productes connectats directament o indirectament a un altre dispositiu o xarxa. Hi ha algunes excepcions per als productes, per als quals els requisits de ciberseguretat ja estan establerts a les normes de la UE existents, per exemple, en dispositius mèdics, aviació o cotxes.
La proposta pretén omplir els buits, aclarir els enllaços i fer que la legislació de ciberseguretat existent sigui més coherent assegurant que els productes amb components digitals, per exemple els productes “Internet de les coses” (IoT), siguin segurs al llarg de tota la cadena de subministrament i al llarg de la seva cicle de vida sencer.
Finalment, el reglament proposat també permet als consumidors tenir en compte la ciberseguretat a l’hora de seleccionar i utilitzar productes que contenen elements digitals, oferint als usuaris l’oportunitat de prendre decisions informades de productes de maquinari i programari amb les característiques de ciberseguretat adequades.
Elements principals retinguts de la proposta de la Comissió
La posició comuna del Consell manté l’eix general de la proposta de la Comissió, a saber, pel que fa a:
• normes per reequilibrar la responsabilitat del compliment envers els fabricants, que han de garantir la conformitat amb els requisits de seguretat dels productes amb elements digitals que es posen a disposició al mercat de la UE, incloses obligacions com l’avaluació del risc de ciberseguretat, la declaració de conformitat i la cooperació amb les autoritats competents.
• requisits essencials per als processos de gestió de vulnerabilitats per als fabricants per garantir la ciberseguretat dels productes digitals, i obligacions per als operadors econòmics, com ara importadors o distribuïdors, en relació amb aquests processos.
• mesures per millorar la transparència en la seguretat dels productes de maquinari i programari per als consumidors i usuaris empresarials, i un marc de vigilància del mercat per fer complir aquestes normes
Esmenes del Consell
No obstant això, el text del Consell modifica diverses parts de la proposta de la Comissió, incloent-hi els aspectes següents:
• l’abast de la legislació proposada, inclòs pel que fa a les categories específiques de productes que haurien de complir els requisits del reglament.
• obligacions d’informar de vulnerabilitats o incidents explotats activament a les autoritats nacionals competents («equips de resposta a incidents de seguretat informàtica» – CSIRT) en lloc de l’agència de la UE per a la ciberseguretat (ENISA), amb aquesta última que estableix una plataforma única de notificació.
• elements per a la determinació de la vida útil prevista del producte pels fabricants
• mesures de suport a les petites i microempreses
• una declaració de conformitat simplificada
Propers passos
L’acord d’avui sobre la posició comuna del Consell (‘mandat de negociació’) permetrà a la presidència espanyola iniciar negociacions amb el Parlament Europeu (‘trílegs’) sobre la versió final de la proposta de legislació.
Fons
En les seves conclusions del 2 de desembre de 2020 sobre la ciberseguretat dels dispositius connectats, el Consell va subratllar la importància d’avaluar la necessitat d’una legislació horitzontal a llarg termini per abordar tots els aspectes rellevants de la ciberseguretat dels dispositius connectats, com ara la disponibilitat, la integritat i la confidencialitat, inclosa especificar les condicions per a la col·locació al mercat.
Anunciada per primera vegada pel president de la Comissió, Von der Leyen, en el seu discurs sobre l’estat de la Unió el setembre de 2021, la idea es va reflectir a les conclusions del Consell del 23 de maig de 2022 sobre el desenvolupament de la postura cibernètica de la Unió Europea, que demanava a la Comissió que proposés una ciberseguretat comuna. requisits per als dispositius connectats a finals de 2022.
El 15 de setembre de 2022, la Comissió va adoptar la proposta de Reglament del Parlament Europeu i del Consell sobre requisits horitzontals de ciberseguretat per als productes amb elements digitals i per la qual es modifica el Reglament (UE) 2019/1020 (‘acte de resiliència cibernètica’), que complementarà el marc de ciberseguretat de la UE: la directiva sobre la seguretat de les xarxes i els sistemes d’informació (directiva NIS), la directiva sobre mesures per a un alt nivell de ciberseguretat a tota la Unió (directiva NIS 2) i la llei de ciberseguretat de la UE.